SEISMO Octobre 2008 Fabien Duflot Ingénieur Avant-Vente Tel : +33 (0)3 20 61 96 34 Cell : +33 (0)6 77 76 36 58 Web :

Présentation au sujet: "SEISMO Octobre 2008 Fabien Duflot Ingénieur Avant-Vente Tel : +33 (0)3 20 61 96 34 Cell : +33 (0)6 77 76 36 58 Web :"— Transcription de la présentation:

1 SEISMO Octobre 2008 Fabien Duflot Ingénieur Avant-Vente Tel : +33 (0)3 20 61 96 34 Cell : +33 (0)6 77 76 36 58 email : fabien.duflot@netasq.com Web : www.netasq.comwww.netasq.com

2 NETASQ Confidential 2 Est ce qu’un Firewall/IPS est suffisant ? Le Firewall est indispensable pour rendre le système d’informations sûr. Mais est ce suffisant ? Chaque jour de nouvelles vulnérabilités sont découvertes et les utilisateurs installent de nouvelles applications Savez vous que votre réseau est modifié tous les jours ?

3 NETASQ Confidential 3 Est ce qu’un Firewall/IPS est suffisant ? Supposons que la configuration du réseau a été finalisé le 1 septembre en utilisant les dernières majs disponibles de chacun des logiciels. Comment évaluer le niveau de sécurité du réseau le 20 du mois ? En considérant que :

4 NETASQ Confidential 4 Vulnérabilités en 2008

5 NETASQ Confidential 5 Vulnerabilités en 2008 Du 1er au 31 Août 2008 : 367 vulnérabilités découvertes:198 HIGH, 155 MEDIUM, Only 14 LOW

6 NETASQ Confidential 6 Est ce qu’un Firewall/IPS est suffisant ? Beaucoup de ces vulnérabilités peuvent être utilisées pour exploiter une faille votre système Dans la “meilleure” hypothèse, cela peut être un élément utilisé pour réaliser une attaque DOS sur le réseau.

7 NETASQ Confidential 7 Un réseau simple avec Lan et DMZ LAN DMZ Internet

8 NETASQ Confidential 8 Architecture classique : LAN et DMZ Architecture classique Il est nécessaire de vérifier chaque matin les softs de la DMZ et les vulnérabilités des bases internationales. Est ce que l’administrateur connait l’ensemble des applications sur son réseau ? Cela peut représenter une charge importante de travail

9 NETASQ Confidential 9 Solution du marché – Scanner actif Pour avoir un rapport détaillé, il est nécessaire d’activer tous les modules. Cela peut entrainer un crach du système Il faut le programmer – Valable à un instant donné Interaction sur les performances du système N’analyse pas la partie client Pas d’interaction avec le Firewall

10 NETASQ Confidential 10 Solution du marché – Scanner actif

11 NETASQ Confidential 11 Solution du marché – Scanner actif

12 NETASQ Confidential 12 Solution du marché – Scanner passif La majorité des scanners passifs se contentent de donner une image du niveau de sécurité sans avoir un historique des événements réseaux Ils n’interagissent pas avec les firewalls

13 NETASQ Confidential 13 Solution NETASQ - SEISMO Introduit depuis la version 7.0 N’impacte pas les performances du Firewall Pas d’impact sur les serveurs et les autres machines analysées Analyse permanente du réseau

14 NETASQ Confidential 14 Nouveautés dans DELOS “SEISMO engine” amélioré en profondeur Obectifs : –Utilisation des signatures contextuelles –Augmente le nombre de vulnérabilités détectées –Améliore la surveillance du réseau afin de garder une trace de chacune des applications

15 NETASQ Confidential 15 Fonctionnement en version 7 Code source des plugin ASQ extrait les éléments spécifiques du protocole (headers,banners…) Envoie ces élément à SEISMO SEISMO parse les informations afin d’extraire le produit et sa version pour vérifier la vulnérabilité sur cette donnée

16 NETASQ Confidential 16 Qu’est ce que cela signifie ? L’extraction des informations relatives aux protocoles est faite par les plugins Performant mais : Pour extraire d’autres informations, il est nécessaire de faire une mise à jour du Firmware (pour bénéficier des nouveaux plugins)

17 NETASQ Confidential 17 Fonctionnement dans DELOS Certaines extractions sont transformées en patterns (signatures) Quand ce n’est pas possible de travailler avec patterns (SSH); nous continuerons avec les plugins SEISMO ne reçoit pas une chaine de caractères mais un ID de contexte et de pattern SEISMO analyse la signature et extrait les données

18 NETASQ Confidential 18 Qu’est ce que cela signifie ? Niveau sémantique élevé Signatures partagées avec l’IPS Seulement une seule extraction pour la même signature Extractions multilignes Mise à jour des signature possible et rapide PLUS DE SIGNATURES POUR SEISMO

19 NETASQ Confidential 19 Détection d’applications Détecte les applications clients du LAN Permet de garder le contrôle sur les applications installées sur le réseau et de surveiller ce que font les utilisateurs avec leur poste de travail.

20 NETASQ Confidential 20 Détection d’applications

21 NETASQ Confidential 21 Détection d’applications

22 NETASQ Confidential 22 Nouveaux token inside l_pvm Ajout de 3 champs Product Nom du produit et sa version Service Nom du service et sa version (attaché à un port) Detail Information supplémentaire indiquant ce qui a déclenché la vulnerabilité quand il ne s’agit pas d’un produit ou d’un service (exemple systémes d’exploitation)

23 NETASQ Confidential 23 Nouveaux token dans l_pvm - Korkula id=firewall time="2008-10-01 15:13:20" fw="FW_Demo" tz=+0200 startime="2008-10-01 15:13:20" pri=4 src=192.168.13.30 srcname=honeypot vulnid=115238 msg="Mozilla Products Code Execution and Injection Vulnerabilities" arg="Firefox_2.0.0.13" family="Web Client" severity=4 solution=1 remote=1 targetclient=1 targetserver=0 discovery="2008-06-19"

24 NETASQ Confidential 24 Nouveaux token dans l_pvm - Delos id=firewall time="2008-10-03 08:44:26" fw="FW_Demo" tz=+0000 startime="2008-10-03 08:44:26" pri=4 src=192.168.13.30 srcname=honeypot vulnid=115238 msg="Mozilla Products Code Execution and Injection Vulnerabilities" product="Firefox_2.0.0.13" detail="" arg="Firefox_2.0.0.13" family="Web Client" severity=4 solution=1 remote=1 targetclient=1 targetserver=0 discovery="2008-06-19"

25 NETASQ Confidential 25 Nouveaux token dans l_pvm - Korkula id=firewall time="2008-10-03 10:00:15" fw="FW_Demo“ tz=+0200 startime="2008-10-03 10:00:15" pri=4 src=192.168.0.2 srcname=Server ipproto=tcp proto=ssh port=22 portname=ssh vulnid=112178 msg="OpenSSH Untrusted Cookie Creation Handling Security Bypass Weakness" arg="OpenSSH_4.5“ family="SSH" severity=1 solution=1 remote=0 targetclient=0 targetserver=1 discovery="2007-09-17"

26 NETASQ Confidential 26 Nouveaux token dans l_pvm - Delos id=firewall time="2008-10-03 08:53:38" fw="FW_Demo" tz=+0000 startime="2008-10-03 08:53:38" pri=4 src=192.168.0.2 srcname=Server ipproto=tcp proto=ssh port=22 portname=ssh vulnid=112178 msg="OpenSSH Untrusted Cookie Creation Handling Security Bypass Weakness" service="OpenSSH_4.5" detail="" arg="OpenSSH_4.5" family="SSH" severity=1 solution=1 remote=0 targetclient=0 targetserver=1 discovery="2007-09-17"

27 NETASQ Confidential 27 Nouveaux token dans l_pvm - Delos id=firewall time="2008-10-03 08:44:26" fw="FW_Demo" tz=+0000 startime="2008-10-03 08:44:25" pri=4 src=192.168.13.30 srcname=honeypot vulnid=50273 msg="Microsoft Windows OS detected" detail="Microsoft_Windows_2000" arg="Microsoft_Windows_2000" family="Operating System" severity=0 solution=1 remote=0 targetclient=1 targetserver=0

28 NETASQ Confidential 28 Nouveaux token dans l_pvm - Delos id=firewall time="2008-10-03 08:44:26" fw="FW_Demo" tz=+0000 startime="2008-10-03 08:44:26" pri=4 src=192.168.13.30 srcname=honeypot vulnid=115238 msg="Mozilla Products Code Execution and Injection Vulnerabilities" product="Firefox_2.0.0.13" detail="" arg="Firefox_2.0.0.13" family="Web Client" severity=4 solution=1 remote=1 targetclient=1 targetserver=0 discovery="2008-06-19"

29 NETASQ Confidential 29 Nouveauté dans l’autoupdate Pour gérer les nouvelles signatures, un nouveau Token “upd” est ajouté Totallement transparent pour les utilisateurs

30 NETASQ Confidential 30 Configuration de SEISMO La configuration de SEISMO est faite en utilisant des profils et des objets Le profil indique quels types de vulnérabilités il faut détecter L’objet correspond à la partie du réseau qu’il faut analyser Configuration = association Objet – Profil

31 NETASQ Confidential 31 Configuration de SEISMO Etape 1 : Création profil Etape 2 : Création objet réseau Que doit-on analyser ? Quelle partie de mon réseau ?

32 NETASQ Confidential 32 Configuration de SEISMO Etépa 3 : Attacher le profil à un objet réseau Que doit-on analyser ? Quelle partie de mon réseau ? Que doit on ANALYSER et quelles ZONES

33 NETASQ Confidential 33 Un réseau simple avec LAN et DMZ LAN DMZ Internet Nous souhaitons controler les vulnérabilités des serveurs en DMZ Et vérifier les applications sur les postes clients en interne

34 NETASQ Confidential 34 SEISMO – Démonstration Exemple pratique de configuration avec LAN et DMZ (serveurs Web, FTP et Mail)

35 Questions ?

36 Merci Fabien Duflot Ingénieur Avant-Vente Tel : +33 (0)3 20 61 96 34 Cell : +33 (0)6 77 76 36 58 email : fabien.duflot@netasq.com Web : www.netasq.comwww.netasq.com

37 NETASQ Confidential 37 SEISMO : Profils 37

38 NETASQ Confidential 38 SEISMO : Profils 38

39 NETASQ Confidential 39 SEISMO : Profils 39 Any Databases DNS Server FTP Server Peer to Peer IM Web Applications SSH Web Server Client Web Client FTP Mail Server E-mail client Media Player Others

40 NETASQ Confidential 40 SEISMO : Liste vulnérabilités 40

41 NETASQ Confidential 41 SEISMO : Affectation Profils 41

42 NETASQ Confidential 42 SEISMO : Affectation Profils 42

43 NETASQ Confidential 43 SEISMO : Flux à analyser 43

44 NETASQ Confidential 44 SEISMO : Flux à analyser 44

45 NETASQ Confidential 45 SEISMO : Monitoring 45

46 NETASQ Confidential 46 SEISMO : Monitoring 46

47 NETASQ Confidential 47 SEISMO : Monitoring 47

48 NETASQ Confidential 48 Installation Daily risk Management 48

49 Questions ?

50 Merci Fabien Duflot Ingénieur Avant-Vente Tel : +33 (0)3 20 61 96 34 Cell : +33 (0)6 77 76 36 58 email : fabien.duflot@netasq.com Web : www.netasq.comwww.netasq.com